接上文:《2020年第三季度APT攻击趋势分析(上)》中东地区的攻击今年6月,卡巴斯基观察到MuddyWaterAPT组织的新活动,包括利用一套新的工具,这些工具构成了一个多层次的加载恶意程序模块的框架。该框架的某些组件利用代码与C2通信,这与卡巴斯基今年早些时候在其MoriAgent恶意软件中观察到的代码相同。因此,卡巴斯基决定将新框架命名为MementoMori。新框架的目的是进一步促进PowerShell或DLL模块在内存中的执行。到目前为止,卡巴斯基已经确定了来自土耳其、埃及和阿塞拜疆的受害者。东南亚和朝鲜半岛的攻击今年5月,卡巴斯基发现了一个属于Dtrack家族的新样本。第一个名为Valefor的样本是DtrackRAT的更新版本,其中包含一项新功能,允许攻击者能够执行更多类型的有效载荷。第二个例子是一个名为Camio的键盘记录器,它是其键盘记录器的更新版本。这个新版本更新了日志信息及其存储机制,卡巴斯基观察到这些恶意软件程序是为特定受害者量身定制的迹象,目前在日本发现。自去年12月以来,卡巴斯基一直在跟踪LODEINFO,这是一种用于定向攻击的无文件恶意软件程序。在此期间,卡巴斯基观察到开发者开发的恶意程序的多个版本。5月,卡巴斯基检测到针对日本外交机构的v0.3.6版本。此后不久,卡巴斯基也检测到v0.3.8。卡巴斯基的调查揭示了攻击者在横向移动阶段的操作方式:在获得所需数据后,攻击者删除他们的攻击痕迹。卡巴斯基的报告包括对恶意程序LODEINFO的技术分析,以及受害者网络中的攻击序列,以揭示攻击者的策略和方法。在跟踪“透明部落”的活动时,卡巴斯基发现了APT攻击者使用的一个有趣的工具:一个用于管理CrimsonRAT木马的服务器组件。卡巴斯基发现了该程序的不同版本,这让卡巴斯基能够从攻击者的角度来看待恶意程序。它表明该工具的主要目的是窃取文件,使其具有探索远程文件系统和使用特定过滤器收集文件的功能。TransparentTribe(又名PROJECTM和MYTHICLEOPARD)是一个非常多产的APT组织,最近几个月扩大了其活动范围。近日,卡巴斯基发现了一个与“CrimsonRAT木马”相关的活动https://securelist.com/transparent-tribe-part-1/98127/,卡巴斯基迅速分析服务器组件,第一次看到USBWorm组件另外之后,卡巴斯基还发现了一种用于针对印度军方人员的特洛伊木马程序。这一发现也证实了之前调查中已经发现的许多信息,也证实了CrimsonRAThttps://securelist.com/transparent-tribe-part-2/98233/仍在积极开发中。今年4月,卡巴斯基发现了一种名为CRAT的新型恶意程序,其基于构建路径和内部文件名,使用武器化的韩语文档和木马程序,并传播战略网络攻击。自发现以来,后门功能经过多次迭代,功能已经非常完善,分为多个攻击模块类。有一个下载器将CRAT传播给受害者,然后是称为OrchestratorCrat的Orchestrator恶意软件的下一阶段:该Orchestrator加载各种插件用于间谍活动,包括键盘记录、屏幕捕获和剪贴板窃取。在卡巴斯基的调查中,卡巴斯基发现了与ScarCruft和Lazarus的一些微弱联系:卡巴斯基发现恶意软件中的几条调试消息与ScarCruft恶意软件具有相似的模式,以及LazarusC2基础设施的某些代码模式和命名。今年6月,卡巴斯基观察到一组新的安卓恶意下载器,根据卡巴斯基的跟踪分析,这些下载器至少从2019年12月开始就在野外活跃使用,攻击目标完全是巴基斯坦。它的发展攻击者使用Kotlin编程语言和Firebase消息系统进行下载,模仿ChatLite、KashmirNewsService和其他合法的区域性Android应用程序。美国国家电信和信息技术安全委员会(NTISB)一月份的一份报告描述了共享相同C2和欺骗相同合法应用程序的恶意程序。报告提到,攻击者以巴基斯坦军事机构为目标,攻击者使用WhatsApp消息、短信、电子邮件和社交媒体作为初始感染媒介。卡巴斯基的研究还表明,该恶意程序还通过TelegramMessenger传播。通过对初始下载集的分析,卡巴斯基能够找到卡巴斯基认为密切相关的另一组木马,因为它们使用下载程序中提到的包名称并专注于相同的目标。这些新样本与之前归因于OrigamiElephant组织开发的恶意软件的代码有高度相似性。7月中旬,卡巴斯基观察到一个东南亚政府组织被未知攻击者使用包含多层恶意RAR可执行包的恶意ZIP包作为目标。在其中一起事件中,邮包的主题是关于新冠疫情的。卡巴斯基认为,同一组织可能是7月初遭到入侵的政府Web服务器的同一攻击目标,并服务于高度相似的恶意LNK。与卡巴斯基实验室过去发现的针对特定国家/地区的其他活动一样,这些攻击者正在采取长期、多管齐下的方法来破坏目标系统,而无需使用零日攻击。值得注意的是,另一个组织(可能是OceanLotus)除了使用CobaltStrike之外,还在一个月左右的时间里使用类似的Telegram分发技术针对类似的政府目标,使用以COVID-19为主题的恶意LNK,并植入其恶意程序在同一个政府目标上。5月,卡巴斯基阻止了对一家韩国公司的恶意InternetExplorer脚本攻击。分析显示,此次攻击使用了此前未知的全链条攻击方式,包括两次零日攻击:针对InternetExplorer的远程代码执行攻击和针对Windows的提权攻击。不同于之前卡巴斯基在WizardOpium活动中使用的全链https://securelist.com/windows-0-day-exploit-cve-2019-1458-used-in-operation-wizardopium/95432/,新的全链针对最新版本的Windows10,卡巴斯基的测试表明,InternetExplorer11和版本18363x64的Windows10可以被可靠地利用。6月8日,卡巴斯基向微软报告了卡巴斯基的调查结果,后者确认了漏洞。在卡巴斯基报告发布时,微软安全团队已经为CVE-2020-0986漏洞准备了补丁,用于零日提升权限利用;利用的可能性较小,并且已于6月9日发布了针对CVE-2020-0986的补丁。微软将JScript中的释放后使用漏洞指定为CVE-2020-1380,并于8月11日发布了针对该漏洞的补丁。卡巴斯基将这些相关攻击称为PowerFall。卡巴斯基尚不确定是哪个组织对这些攻击负责,但由于与之前发现的漏洞有相似之处,卡巴斯基认为DarkHotel可能是此次攻击的幕后黑手。7月22日,卡巴斯基在VirusTotal网站上发现了一个来自意大利的可疑档案,该档案似乎包含恶意脚本、访问日志、恶意文档文件和安全解决方案检测到的几个可疑文件。屏幕截图的分类。在调查恶意文档文件后,卡巴斯基发现它们与Lazarus组织在6月份报告的活动有关。该活动被称为“死亡笔记”,针对汽车行业和学术界的个人,使用包含与航空航天和国防相关的职位描述的诱饵文件。卡巴斯基确信这些文件与最近报道的针对以色列国防制造商的攻击有关。到目前为止,卡巴斯基已经发现了webshel??l脚本、C2服务器脚本和恶意文件,确定了数名连接到被感染C2服务器的受害者,并发现了用于访问C2服务器的方法。今年3月,卡巴斯基观察到APT组织SideWinder的攻击活动,攻击者使用了五种不同的恶意程序类型。目前,开发者不断修改其最终载荷,并继续利用新冠疫情等时下热点话题发起鱼叉式钓鱼活动,主要针对政府、外交和军事机构。虽然感染机制与之前相同,包括利用SelectCVE-2017-1182的SideWinder和使用DotNetToJScript工具部署最终的payload,但卡巴斯基发现该组织还使用了一个包含微软编译的HTML帮助的ZIP文件,该文件可以下载最后阶段有效载荷。除了现有的基于.NET的植入程序(卡巴斯基称为SystemApp)之外,网络攻击者还在他们的武器库中添加了JSOrchestrator、Rover/Scout后门和AsyncRAT的修改版本warzoneRAT。其他有趣的发现在许多情况下,研究人员无法调查已发现的APT组织背后的团队。例如,在调查一项正在进行的活动时,卡巴斯基发现了一种正在开发中的新型Android植入程序,它与任何已知的Android恶意软件都没有明显的联系。该恶意程序能够监控和窃取通话记录、短信、音频、视频和非媒体文件,以及识别受感染设备的信息。它还实现了一个有趣的功能,即收集使用“traceroute”命令和使用本地ARP缓存获得的网络路由和拓扑信息。在这次调查中,卡巴斯基发现了一堆类似的Android信息窃取程序植入物,其中一个例子被混淆了。此外,卡巴斯基还发现了一个更像后门的较旧的Android恶意程序,其踪迹可以追溯到2019年8月。早在4月份,思科Talos就发现了一名身份不明的黑客使用一种名为“PoetRAT”的新恶意程序,特别针对阿塞拜疆政府和能源部门。卡巴斯基与卡巴斯基ICSCERT合作,确定了针对阿塞拜疆各大学、政府、工业组织和能源部门机构的相关恶意程序和文件的额外样本。攻击始于2019年11月上旬,尽管攻击者在思科Talos报告发布后立即关闭了攻击的基础设施。此后,再没有发现新的相关文档或PoetRAT样本。卡巴斯基观察到恶意程序和Turla的代码之间存在一些重叠,但由于没有技术上可靠的证据表明它们之间存在关系,因此卡巴斯基无法将这一新活动归因于任何其他已知的攻击者,因此卡巴斯基将其命名为ObsidianGargoyle。Turla被认为是历史上最复杂的APT(高级持续威胁)间谍软件。目标是政府机构、大使馆、军事组织、研究和教育组织以及制药公司。Turla组织的攻击活动包括很多具有短期影响的重大事件,比如2008年对美国中央司令部的攻击,也就是BuckshotYankee事件——指的是黑客使用了一种名为agent.btz的恶意软件通过USB闪存驱动器上传到五角大楼的军事网络系统。另一起事件是2016年对瑞士军工企业RUAGGroup的攻击,黑客结合使用了网络间谍软件Turla、特洛伊木马程序和Rootkit恶意软件。此外,Turla组织还针对乌克兰、欧盟相关机构、欧盟国家政府、各国大使馆、媒体、研究和教育机构以及制药和军工企业。它利用卫星通信固有的安全漏洞来隐藏C&C服务器和控制中心的位置。Turla组织也被称为Snake、Uroburos、VenomousBear或KRYPTON,是迄今为止最先进的威胁组织之一。总结无论APT组织使用的钓鱼技术如何变化,攻击者使用的钓鱼主题在一段时间内是相同的。例如,在疫情期间,他们利用新冠疫情等热门话题,吸引用户下载执行恶意鱼叉式钓鱼邮件附件。在技??术开发方面,APT组织不断迭代技术,开发新的工具集,扩大活动范围,比如开发新的平台以吸纳更多的参与者。虽然一些APT组织开发了非常复杂的工具,例如MosiacRegressorUEFI植入程序,但其他网络攻击者也使用基本TTP取得了巨大成功。根据卡巴斯基的说法,UEFI是一种固件接口,是BIOS的替代品,可提高安全性并确保没有恶意软件篡改启动过程。由于UEFI有助于加载操作系统本身,因此这种感染可以抵抗操作系统重新安装或硬盘驱动器更换。根据卡巴斯基的说法,这些恶意UEFI固件映像被修改为包含多个恶意模块,然后用于将恶意软件投放到受害计算机上,目标是来自非洲、亚洲和欧洲的外交官和非洲人。政府组织的成员发起了一系列有针对性的网络攻击。以下是卡巴斯基在2020年第三季度看到的主要APT攻击趋势:地缘政治继续推动许多APT活动的增长,正如卡巴斯基最近几个月在TransparentTribe、Sidewinder、OrigamiElephant和MosaicRegressor活动中看到的那样。金融部门一直是攻击的主要目标,DeathStalker活动就是最近的一个例子。卡巴斯基将通过最近的例子,包括透明部落和折纸大象,继续观察移动植入程序在APT攻击中的使用情况。虽然APT网络攻击者在全球范围内都很活跃,但最近的活动热点在东南亚、中东和华语地区。本季度,包括WellMess、Sidewinder在内的APT组织打着新冠话题的幌子发起攻击。本季度最有趣的APT组织是DeathStalker和MosaicRegressor:前者强调了APT组织不需要开发高度复杂的工具来实现其目标的事实,后者代表了恶意软件开发的前沿。
